Ransomware Petya mengeksploitasi SMBv1 EternalBlue

KANALINDONESIA.COM, TECHNO: Ransomware Petya mengeksploitasi eksploitasi SMBv1 EternalBlue, sama seperti WannaCry yang memanfaatkan Sistem Operasi Microsoft Windows yang tidak melakukan patching dan update berkala – misalnya karena menggunakan aplikasi bajakan atau alasan untuk menghindari konflik sistem dengan in house application di perusahaan.

Bagaimana cara bekerja Petya ?

Belum diketahui dengan jelas mekanisme penyebarannya. Namun diduga mirip dengan Ransomware Wannacry yang dapat menyebar dan melakukan infeksi otomatis melalui jaringan lokal LAN dan internet (attachment email atau inject dari malware sites). Berdasarkan Security Advisory dari Microsoft, Ransomware Petya berhasil menyebar karena menggabungkan serangan sisi klien (CVE-2017-0199) dan ancaman berbasis jaringan (MS17-010).

Apa dampak dari Petya ?

Data akan terenkripsi pada komputer yang terinfeksi Ransomware Petya. Modusnya sedikit berbeda dengan Ransomware Wannacry, dimana Ransomware Petya akan melakukan proses booting secara paksa atau kalau tidak berhasil maka membuat sistem crash sehingga user mau tidak mau melakukan proses booting. Bila proses booting dilakukan, maka Ransomware Petya akan melakukan enkripsi terhadap Master Boot Record (MBR), File Allocation Table (FAT) dan Master File Table (MFT) untuk file system jenis NTFS. Sebagai akibatnya HDD tidak akan bisa diakses (terenkripsi). Oleh karena itu, apabila komputer yang dicurigai (target) telah menjadi korban sedang dalam keadaan menyala, sebaiknya segera dimatikan dan tidak melakukan booting sebelum dilakukan backup. Sedangkan bila dalam keadaan mati, agar dilakukan backup terlebih dahulu menggunakan Live Operating System yang dijalankan dari CD atau USB Drive.

Sudah sejauh mana penyebarannya ?

Ransomware Petya diketahui telah menjangkiti ribuan komputer dalam waktu singkat beberapa hari yang lalu di Ukraina. Kemudian menyebar ke seluruh Eropa terutama Perancis, Inggris dan akhirnya sampai ke Asia Selatan khususnya India, Pakistan dan juga dilaporkan Turki. Dari pemantauan online, sudah 250 ribu komputer terinfeksi dan dikhawatirkan jumlahnya akan meningkat karena sejumlah negara sedang musim libur musim panas dan lebaran seperti di Indonesia dan Malaysia.

Apa yang harus dilakukan agar kita tidak terkena ?

Mirip seperti Ransomware Wannacry, langkah pencegahan yang paling utama adalah BACKUP, BACKUP, BACKUP dan dilaksanakan secara rutin / otomatis. Satu backup bukan backup, dua backup tidak cukup, harus ada backup ketiga yang terpisah dari sistem yang hendak dibackup. Kemudian menggunakan Operating System dan Aplikasi orisinal yang memiliki fitur secara rutin / otomatis melakukan update / patch kerawanan keamanan. Selanjutnya menggunakan, mengaktifkan sistem proteksi dan secara rutin / otomatis update Anti Virus khususnya yang memiliki fitur Proteksi Anti Ransomware dan Anti Malware lainnya.

Lakukan backup semua data yang ada di PC / client / host maupun di Server khususnya File Sharing. Untuk keamanan, walaupun servernya menggunakan Linux, MacOS dll. Disarankan untuk membackup filenya juga ke external drive kemudian cabut external drive tersebut dan amankan di tempat lain. Apabila terhubung ke online cloud storage yang tersinkronisasi, maka putuskan hubungan untuk sementara sampai semuanya dipastikan telah aman.

Karena masyarakat pernah terekspos Ransomware WANNACRY, maka :

1) Apa bedanya ?

Berbeda dengan Ransomware Wannacry, proses enkripsi pada ransomware Petya terjadi setelah pengguna melakukan proses reboot / booting. Jadi jika sistem Anda terinfeksi Ransomware Petya dengan meminta uang jaminan dan komputer anda melakukan restart, jangan menyalakannya kembali karena itu adalah proses enkripsi. Jadi, jika Anda tidak menyalakannya kembali atau komputer anda masih dalam keadaan tidak aktif (off), maka data Anda akan baik-baik saja. Segera lakukan proses backup dengan menggunakan Live Operating System menggunakan CD atau USB Drive.

2) Apakah langkah-langkah untuk pencegahannya berbeda ?

Langkahnya hampir sama dengan Ransomware Wannacry, ada beberapa tambahan:

– nonaktifkan WMIC (Windows Management Instrumentation Command-line).
https://msdn.microsoft.com/en-us/library/aa826517(v=vs.85).aspx